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Die Strategie der Bundesregierung zur Bekämpfung der Internetkriminalität - 
Das Nationale Cyber-Abwehrzentrum 


Vorbemerkung der Fragesteller 

Am 23. Februar 2011 machte das Bundesministerium des Innern (BMI) über 
eine Pressemitteilung bekannt, dass das Bundeskabinett eine neue Cyber-Sicher- 
heitsstrategie beschlossen habe: 

„Ziel der Strategie ist, Cyber-Sicherheit in Deutschland auf einem hohen Niveau 
zu gewährleisten - ohne dabei die Chancen und den Nutzen des Cyber-Raums 
zu beeinträchtigen. Kernpunkte der neuen Strategie sind: 

- der verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen, 

- der Schutz der IT-Systeme in Deutschland einschließlich einer Sensibilisie- 
rung der Bürgerinnen und Bürger, 

- der Aufbau eines Nationalen Cyber- Abwehrzentrums ab 01 . April 2011 so- 
wie die Einrichtung eines Nationalen Cyber-Sicherheitsrates.“ 

Weiter heißt es in der Pressemitteilung des BMI: 

„Das Nationale Cyber- Abwehrzentrum wird unter der Federführung des Bundes- 
amtes für Sicherheit in der Informationstechnik (BSI) errichtet. Direkt beteiligt 
werden das Bundesamt für Verfassungsschutz, das Bundesamt für Bevölkerungs- 
schutz und Katastrophenhilfe. Weitere Behörden werden mitwirken. Die Auf- 
gabe des Cyber-Abwehrzentrums besteht darin, Infonnationen auszutauschen. 
Das Nationale Cyber- Abwehrzentrum ennöglicht es, schnell und abgestimmt 
alle Infonnationen zu Schwachstellen in IT-Produkten oder IT- Vorfällen zu ver- 
netzen, diese zu analysieren und Empfehlungen zum Schutz der IT-Systeme zur 
Verfügung zu stellen bzw. auszusprechen. Koordiniert wird die Arbeit im Rah- 
men der Cyber-Sicherheitsstrategie durch den neu einzurichtenden Cyber- 
Sicherheitsrat unter der Verantwortung der Beauftragten der Bundesregierung 
für Informationstechnik.“ (Pressemitteilung des BMI vom 23. Februar 2011). 

Auch auf internationaler Ebene, hier vor allem auf der EU-Ebene und in der 
NATO wird von bundesdeutschen Sicherheitsbehörden seit Jahren eine enge 
Kooperation angestrebt. 


Die Antwort wurde namens der Bundesregierung mit Schreiben des Bundesministeriums des Innern vom 28. April 2011 
übermittelt. 

Die Drucksache enthält zusätzlich - in kleinerer Schrifttype - den Fragetext. 
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So führte im November 2010 die 2004 gegründete Europäische Agentur für 
Netz- und Informationssicherheit (ENISA, European Network and Information 
Security Agency) ein erstes europaweites Manöver durch. Der Schlussbericht 
dazu liegt noch nicht vor. 


1 . Welche genauen tatsächlichen Sachverhalte und Vorkommnisse sowie even- 
tuell offenbar gewordenen Schwächen in der bisherigen Arbeit der 
Sicherheitsbehörden haben dazu geführt, dass ein Nationales Cyber- Abwehr- 
zentrum am 1 . April 2011 seine Arbeit aufnehmen soll (bitte für die einzelnen 
Behörden, Gremien und Kooperationseinrichtungen gesondert darstellen)? 

Die Cyber-Sicherheitsstrategie der Bundesregierung einschließlich der Einrich- 
tung eines Nationalen Cyber- Abwehrzentrums (Cyber- AZ) ist eine kontinuier- 
liche Weiterentwicklung der bisherigen IT-Sicherheitspolitik und IT-Sicher- 
heitsaktivitäten. Hochkomplexe Angriffe wie Stuxnet orientieren sich nicht 
entlang von Behördenzuständigkeiten. Ein intensiverer Informationsaustausch 
zwischen den Behörden ist erforderlich. 


2. Auf welcher gesetzlichen Grundlage soll dieses Nationale Cyber-Abwehr- 
zentrum arbeiten, und ist hierfür — nach Ansicht der Bundesregierung - ein 
eigenes Errichtungsgesetz oder eine Errichtungsanordnung (falls vorhanden 
bitte der Antwort beifügen) erforderlich, und wenn nein, warum nicht? 

Das Cyber-Abwehrzentrum ist keine eigenständige Behörde, weswegen eine 
gesetzliche Grundlage entbehrlich ist. Die Grundlage der Zusammenarbeit sind 
Kooperationsvereinbarungen. Die beteiligten Behörden arbeiten hierbei unter 
strikter Wahrung ihrer Aufgaben und gesetzlichen Befugnisse zusammen. Aus 
diesem Grund ist auch ein Errichtungsgesetz nicht notwendig. 


3. Aufgrund welcher sonstigen Verwaltungsvereinbarung wurde das Nationale 
Cyber-Abwehrzentrum dann errichtet (die Dokumente, Vereinbarungen etc. 
bitte der Antwort beifügen)? 

Wie in der vom Bundeskabinett am 23. Februar 2011 verabschiedeten Cyber- 
Sicherheitsstrategie für Deutschland benannt, sind Kooperationsvereinbarungen 
Grundlage für die Zusammenarbeit. 


4. Welche Behörden sollen in dem Nationalen Cyber-Abwehrzentrum mit wie 
vielen Personen ständig arbeiten, und welche Ad-hoc-Assoziationen sind 
denkbar? 

Die Kernbehörden (Bundesamt für Sicherheit in der Informationstechnik, 
Bundesamt für Verfassungsschutz, Bundesamt für Bevölkerungsschutz und 
Katastrophenhilfe) sind ständig im Cyber-Abwehrzentrum vertreten. Sie stellen 
insgesamt zehn Mitarbeiter (BSI: 6 MA, BfV: 2 MA, BBK: 2 MA). Bundeskrimi- 
nalamt, Bundespolizei, Zollkriminalamt, Bundesnachrichtendienst, Bundeswehr 
(alle assoziierten Behörden) sowie die aufsichtsführenden Stellen über die Be- 
treiber der Kritischen Infrastrukturen werden unter Wahrung ihrer gesetzlichen 
Aufgaben und Befugnisse ebenfalls mitwirken. Die assoziierten Behörden wer- 
den über Verbindungsbeamte regelmäßig und anlassbezogen eingebunden. 


5. Wie ist die Kooperation der unterschiedlichen Behörden im Nationalen 
Cyber- Abwehrzentrum konkret geregelt (bitte eventuelle Kooperationsver- 
einbarungen der Antwort beilegen)? 
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Die Kooperationsvereinbarungen regeln die Zusammenarbeit. Die trilaterale 
Kooperationsvereinbarung der unter Frage 4 genannten Kernbehörden ist bereits 
geschlossen. Die bilateralen Kooperationsvereinbarungen mit den assoziierten 
Behörden (siehe Frage 4) befinden sich noch in der Abstimmung. 


6. Wie sollen die Arbeit und die Arbeitsabläufe des Zentrums konkret aus- 
sehen? 

Das Cyber-Abwehrzentrum ist eine Informationsdrehscheibe und wird den 
Informations- und Erfahrungsaustausch durch eine institutionalisierte Koopera- 
tion optimieren. Alle beteiligten Behörden werden unter strikter Wahrung ihrer 
Aufgaben und gesetzlichen Befugnisse ihr Fachwissen und ihre Kompetenzen 
einbringen, um die Cyber-Sicherheit in Deutschland voranzubringen. 


7. Wie bewertet die Bundesregierung die verfassungsrechtlichen Probleme 
der dauerhaften analytischen und operativen Zusammenarbeit zwischen 
Bundeskriminalamt (BKA), Bundespolizei, Bundesamt für Verfassungs- 
schutz, Bundesnachrichtendienst (BND), Bundeswehr, Militärischem Ab- 
schirmdienst (MAD) und anderen Behörden? 

Im Cyber- Abwehrzentrum findet keine dauerhaft analytische und keine operative 
Zusammenarbeit statt. Aus Sicht der Bundesregierung bestehen deswegen keine 
verfassungsrechtlichen Bedenken (auf die Antwort zu Frage 4 wird verwiesen). 


8. Welche Vorsorge ist in den Verwaltungsvereinbarungen getroffen, um den 
Persönlichkeitsschutz, die Meinungsfreiheit, das Recht auf informationelle 
Selbstbestimmung der Intemetnutzer zu schützen? 

Die Rechte der Internetnutzer sind durch die Arbeit des Cyber- AZ nicht berührt. 
Unabhängig davon wird auch in der zwischen den beteiligten Behörden ge- 
schlossenen Verwaltungsvereinbarung noch einmal klargestellt, dass durch das 
Cyber-AZ keine personenbezogenen Daten verarbeitet werden. Sollte aus- 
nahmsweise ein Austausch personenbezogener Daten erforderlich sein, erfolgt 
er ausschließlich zwischen den jeweils beteiligten Behörden und Stellen auf der 
Grundlage der für die jeweilige Behörde geltenden Gesetze und Vorschriften. 


9. Sind Informationspflichten gegenüber den von Recherchen betroffenen 
Nutzem des Internets vorgesehen, wenn ja, wie sehen die aus, und wenn 
nein, warum nicht? 

Das Cyber-AZ nimmt keine derartigen Recherchen vor. Auf die Antworten zu 
den Fragen 2 und 8 wird verwiesen. 


10. Welche Deliktgruppen der IuK- Kriminalität (IuK: Informations- und 
Kommunikationstechnik) werden bzw. sollen im Nationalen Cyber-Ab- 
wehrzentrum untersucht werden, und gibt es besondere Deliktgruppen der 
IuK-Kriminalität, die im Nationalen Cyber-Abwehrzentrum ausdrücklich 
nicht untersucht und bekämpft werden sollen? 

Wenn ja, aus welchen Gründen sind ihre Untersuchung und Bekämpfung 
nicht vorgesehen? 

Es werden keine Deliktgruppen der IuK-Kriminalität im Cyber- Abwehrzentrum 
untersucht. Diese Aufgabe obliegt den hierfür zuständigen Polizeibehörden. 
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1 1 . Welche Schwachstellen bei welchen IT-Produkten und bei welchen IT- Vor- 
fällen sollen im Nationalen Cyber- Abwehrzentrum untersucht werden, und 
besteht das Nationale Cyber- Abwehrzentrum darauf, von den Software- 
Firmen über sogenannte Backdoors, das heißt absichtlich implementierte 
Sicherheitslücken, informiert zu werden? 

Das Cyber- Abwehrzentrum beschäftigt sich mit Schwachstellen und deren Aus- 
wirkungen auf die Verfügbarkeit der Informations- und Kommunikationstech- 
nik sowie die Integrität, Authentizität und Vertraulichkeit der sich darin befin- 
denden Daten. Das Cyber- Abwehrzentrum verfügt über kein Mandat gegenüber 
Herstellern. 


12. Wie wird sich die Zusammenarbeit des N ationalen Cyber- Abwehrzentrums 
mit dem Bundesministerium für Wirtschaft und Technologie gestalten, und 
welchen Anteil hatte dieses Bundesministerium an der Entwicklung des 
Konzepts und der Umsetzung des Nationalen Cyber-Abwehrzentrums? 

Eine Zusammenarbeit ist nicht vorgesehen. 


13. Wie soll die Zusammenarbeit zwischen dem Nationalen Cyber- Abwehr- 
zentrum und den Organisationen und Verbänden der Wirtschaft gestaltet 
werden, wie z. B. dem B1TKOM Bundesverband Informationswirtschaft, 
Telekommunikation und neue Medien e. V., dem Bundesverband der Deut- 
schen Industrie e. V. und anderen? 

Eine Einbindung der Wirtschaft in das Cyber-AZ erfolgt mittelbar. Bereits be- 
stehende Strukturen der beteiligten Behörden zur Wirtschaft wie beispielsweise 
im UP KRITIS sollen genutzt und konsequent ausgebaut werden. 


14. In welchen Räumlichkeiten bei welcher Sicherheitsbehörde soll das Natio- 
nale Cyber- Abwehrzentrum zukünftig untergebracht werden? 

Das Cyber-Abwehrzentrum ist beim federführenden Bundesamt für Sicherheit 
in der Informationstechnik in Bonn untergebracht. 


15. Wird das Nationale Cyber- Abwehrzentrum über eine eigene Datei verfü- 
gen, und welche nationalen und internationalen Behörden sollen hierauf 
welche Art von Zugriff (schreibend, lesend, automatisiert - bitte auflisten) 
haben können? 

Nein. 


16. Wem sollen die im Nationalen Cyber- Abwehrzentrum erstellten Lagebil- 
der zur Verfügung gestellt werden, und wer sind die Aufsichtsbehörden der 
kritischen Infrastrukturen (bitte auflisten), und wie soll die Kooperation 
mit diesen im Nationalen Cyber-Abwehrzentrum aussehen? 

Die Lagebilder werden insbesondere für den Cyber-Sicherheitsrat bzw. die Bun- 
desregierung und die beteiligten Behörden erstellt. 

Die zu beteiligenden Aufsichtsbehörden, die zum großen Teil in Länderzustän- 
digkeit sind, sind noch zu bestimmen. Die genaue Einbindung wird derzeit noch 
erarbeitet. 
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17. Welche genauen Aufgaben (bitte die genaue Aufgabenbeschreibung der 
Antwort beifügen) hat bzw. soll der Nationale Cyber-Sicherheitsrat im Rah- 
men seiner koordinierenden Tätigkeit wahmehmen, und welche interne 
Organisationsstruktur (vergleiche z. B. Gemeinsames Terrorismusabwehr- 
zentrum - GTAZ) wird sich der Nationale Cyber-Sicherheitsrat geben? 

Der Nationale Cyber-Sicherheitsrat (Cyber-SR) wird am 3. Mai 2011 zu seiner 
konstituierenden Sitzung zusammen treten. Dabei wird neben organisatorischen 
Fragen auch über die thematische Schwerpunktsetzung und die Anbindung 
assoziierter Wirtschaftsvertreter beraten werden. 


18. Welche genauen Regelungen und Vereinbamngen gibt es für die Tätigkeit 
des Nationalen Cyber-Sicherheitsrates (bitte der Antwort beifügen)? 

Auf die Antwort zu Frage 17 wird verwiesen. 


19. Wie vereinbart die Bundesregierung den Vorsitz im Nationalen Cyber- 
Sicherheitsrat durch die Bundesbeauftragte der Bundesregierung für In- 
formationstechnik, wenn deren Aufgaben bisher sind, „den Service der 
Verwaltung zu verbessern, Innovationen zu fordern, administrative Hand- 
lungsfähigkeit zu bewahren sowie die Effizienz in der Verwaltung zu stei- 
gern. Diese Ziele sollen durch effektiven IT-Einsatz erreicht werden.“ 
(www.cio.bund.de)? 

Die Übernahme des Vorsitzes im Cyber-SR durch die Beauftragte der Bundes- 
regierung für Informationstechnik ergibt sich aus der kürzlich beschlossenen 
Cyber-Sicherheitsstrategie der Bundesregierung und stellt eine logische Weiter- 
entwicklung ihres Aufgabenprofils dar. 


20. Welche Personen sind für welche Behörden oder Verbände in dem Natio- 
nalen Cyber-Sicherheitsrat vertreten? 

Laut Nummer 5 der Cyber-Sicherheitsstrategie sind das Bundeskanzleramt, sowie 
mit jeweils einem Staatssekretär, die Ressorts Auswärtiges Amt, Bundesminis- 
terium des Innern, Bundesministerium der Verteidigung, Bundesministerium für 
Wirtschaft und Technologie, Bundesministerium der Justiz, Bundesministerium 
der Finanzen, Bundesministerium für Bildung und Forschung sowie Vertreter 
der Länder vertreten. Über die Anbindung assoziierter Wirtschaftsvertreter wird 
der Cyber-Sicherheitsrat in seiner konstituierenden Sitzung beraten. 


2 1 . Treffen Medienmeldungen zu, dass diesem Nationalen Cyber-Sicherheits- 
rat auch „assoziierte Mitglieder“ der Wirtschaft angehören sollen, und 
wenn ja, welche Vertreter sollen dies sein, wer wählt oder bestimmt sie, 
und wem gegenüber sind sie verantwortlich? 

Auf die Antwort zu Frage 17 wird verwiesen. 


22. Welche Aufgaben gehören zur Koordinationstätigkeit des Nationalen 
Cyber-Sicherheitsrats gegenüber dem Nationalen Cyber-Abwehrzentrum, 
und ist damit auch eine Art Weisungsbefugnis verbunden? 

Eine Weisungsbefugnis des Cyber-SR gegenüber dem Nationalen Cyber- Ab- 
wehrzentrum ist schon aufgrund der fehlenden Behördenstruktur nicht gegeben. 
Auf die Antwort zu Frage 17 wird verwiesen. 
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23. Wie ist die parlamentarische Kontrolle des Nationalen Cyber-Sicherheits- 
rates und des Nationalen Cyber-Abwehrzentrums geregelt? 

Es gelten die üblichen Regelungen zur parlamentarischen Kontrollfunktion des 
Deutschen Bundestages. 


24. Treffen Medienmeldungen zu, dass im Falle einer „unmittelbar bevorste- 
henden oder eingetretenen Krise“ ein nationaler Krisenstab eingerichtet 
wird, und wenn ja, wie sind die Tätigkeit und die Befugnisse dieses Krisen- 
stabes durch welche Richtlinien geregelt (bitte der Antwort beilegen), wel- 
che Personen aus welchen Behörden und Einrichtungen sollen in diesem 
Krisenstab mitarbeiten, und wie soll die Tätigkeit des Krisenstabes parla- 
mentarisch kontrolliert werden? 

Im Bundesministerium des Innern wurden personelle, organisatorische und 
technische Vorkehrungen getroffen, um aus Teilen der Allgemeinen Aufbau- 
organisation eine Besondere Aufbauorganisation in Form des Krisenstabes des 
BMI bilden zu können. Für die in die Ressortzuständigkeit des BMI fallenden 
besonderen Lagen, koordiniert dieser Krisenstab die betroffenen Ressorts der 
Bundesregierung und die Maßnahmen der BMI-Geschäftsbereichsbehörden. 

Grundlage für diese in die Organisationshoheit der Flausleitung des BMI fal- 
lende Organisationsentscheidung ist eine interne BMI-Flausanordnung. 

Die Mitglieder des Krisenstabes (Abteilungsleiter des BMI) sowie die Mitarbei- 
ter der verschiedenen Stabsbereiche (UAL, SV, RL, Ref, SB, BSB) stammen aus 
der AAO des BMI und werden durch Verbindungspersonal der Ressorts und des 
Geschäftsbereiches ergänzt. 

Der Krisenstab wird regelmäßig durch den Sicherheitsstaatssekretär des BMI 
geleitet, sofern nicht der Minister oder ein anderer Staatssekretär die Leitung 
übernimmt oder einem zuständigen Fachabteilungsleiter die Leitung übertragen 
wird. Im Krisenstab wird die ressortübergreifende Expertise gebündelt und eine 
ressort- und länderiibergreifende Koordination von Maßnahmen veranlasst. In 
den Stabsbereichen des Krisenstabes werden die Organisationseinheiten des BMI 
nach Schwerpunkten der Aufgabenerfüllung, unabhängig von der Zuordnung in 
der allgemeinen Aufbauorganisation, zusammengefasst. Die Besetzung der 
Stabsbereiche kann läge- und bedarfsgerecht erweitert oder reduziert werden. 

Die Möglichkeiten der parlamentarischen Kontrolle unterscheiden sich nicht 
von denen, die in anderen Angelegenheiten bestehen. 


25 . Wie definiert die Bundesregierung in diesem Zusammenhang eine Situation 
einer „unmittelbar bevorstehenden Krise“ im Vergleich zu einer „eingetre- 
tenen Krise“, und wer ist für die Feststellung der einen und der anderen mit 
welchen Befugnissen zuständig? 

Für das Krisenmanagement gibt es erprobte Meldewege, die auch im Falle einer 
IT-Krise gültig sind. Eine Krise steht dann unmittelbar bevor, wenn aufgrund 
von konkreten Ereignissen bei ungehindertem Geschehensablauf das Eintreten 
einer Krise mit hoher Wahrscheinlichkeit anzunehmen ist. 


26. Welche Art von Rechenschafts- und Berichtspflichten gibt es für das Na- 
tionale Cyber-Abwehrzentrum und den Nationalen Cyber-Sicherheitsrat? 

Das Cyber-Abwehrzentrum wird dem Cyber- Sicherheitsrat regelmäßig und an- 
lassbezogen Empfehlungen vorlegen. 
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27. Treffen Medienmeldungen zu, dass auch eine Task Force „IT-Sicherheit in 
der Wirtschaft“ zum 29. März 20 1 1 eingerichtet werden sollte, und wenn ja, 
nach welchen Richtlinien soll diese Task Force arbeiten (bitte der Antwort 
beifügen), welche Vertreter welcher Wirtschaftsverbände und welcher 
Sicherheitsbehörden sollen in dieser Task Force vertreten sein, welche 
Aufgaben haben sie, wie viele Kosten fallen für diese Task Force an, wird 
diese Task Force über eine eigene Datei verfügen, und wer soll auf diese 
Datei Zugriff haben? 

Es ist zutreffend, dass am 29. März 2011 im BMWi eine Task Force IT-Sicher- 
heit in der Wirtschaft eingerichtet worden ist. Für die Arbeit der Task Force ist 
keine Richtlinie erforderlich. Nachfolgende Wirtschaftsverbände und Sicher- 
heitsbehörden haben sich zu einer Mitarbeit in der Task Force bereit erklärt: 
ASW, BDI, B1TKOM, BVMW, Cio-Circle, DIHK, Eco- Verband, NIF1S, SIBB, 
TeleTrust, ZDH, ZVE1, BfV und BSI. Die Aufgabe besteht in erster Linie darin, 
kleine und mittlere Unternehmen für das Thema IT-Sicherheit zu sensibilisieren. 
Für die Task Force werden nach bisheriger Einschätzung keine nennenswerten 
Kosten anfallen. Die Task Force wird über keine eigene Datei verfügen. 


28. Mit welchen Einrichtungen der EU soll das Nationale Cyber-Abwehrzen- 
trum nach den bisherigen Planungen und Vorgesprächen Zusammenarbeiten 
oder kooperieren? 

Das Cyber- Abwehrzentram soll mit keinen EU-Einrichtungen unmittelbar Zu- 
sammenarbeiten oder kooperieren. Bereits bestehende Strukturen der beteiligten 
Behörden zur EU sollen genutzt und konsequent ausgebaut werden, um die im 
Cyber- AZ getroffenen gemeinsamen Entscheidungen zu transportieren. 


29. Warm wurde das BMI durch wen beauftragt, eine „Cyber-Außenpolitik (so 
zu) gestalten, dass deutsche Interessen und Vorstellungen in Bezug auf 
Cyber-Sicherheit in (...) der NATO koordiniert und gezielt verfolgt wer- 
den“ können (Cyber-Sicherheitsstrategie für Deutschland, Hrsg. BMI)? 

30. Wann wurde das BMI von wem aufgefordert, die NATO bei der Erarbeitung 
einheitlicher Sicherheitsstandards zu unterstützen, die dann „freiwillig“ für 
den Schutz ziviler Kritischer Infrastrukturen übernommen werden sollen 
(ebd.)? 

Die Cyber-Sicherheitsstrategie für Deutschland wurde am 23. Februar 2011 vom 
Bundeskabinett beschlossen. Die zitierten Gestaltungsziele der Strategie richten 
sich grundsätzlich an die gesamte Bundesregierung im Rahmen der jeweiligen 
Ressortzuständigkeiten. 


31. Welche Vorarbeiten zur Entwicklung dieser einheitlichen Sicherheits- 
standards wurden bis heute von der NATO geleistet, und inwiefern war das 
BMI daran beteiligt, bzw. in welcher Form hat sich die Befürwortung des 
Engagements des BMI gegenüber der NATO gezeigt? 

32. Seit wann ist die NATO das „Fundament transatlantischer Sicherheit“ 
(ebd.) auch im Bereich ziviler Sicherheit und des Schutzes der deutschen 
bzw. europäischen Kritischen Infrastrukturen? 

Mit dem 2010 in Lissabon verabschiedeten strategischen Konzept haben die 
NATO-Staaten auch das Krisenmanagement sowie die Ertüchtigung der Mit- 
gliedstaaten zur Abwehr von Cyber-Angriffen als Aufgabe und Herausforde- 
rung für das Bündnis identifiziert. Vorarbeiten für einheitliche IT-Sicherheits- 
standards gibt es bislang nicht. 
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33. In welcher der beiden Einrichtungen - Nationales Cyber- Abwehrzentrum 
und Nationaler Cyber-Sicherheitsrat - sollen die einheitlichen NATO- 
Sicherheitsstandards für ihren zivilen Einsatz geprüft werden, und welche 
NATO-Vertreter oder -gremien werden daran teilnehmen? 

Weder im Cyber-Abwehrzentrum noch im Cyber-Sicherheitsrat werden NATO- 
Sicherheitsstandards für ihren zivilen Einsatz geprüft. 


34. Aufgrund welcher Überlegungen, rechtlicher und verfassungsrechtlicher 
Gmndlagen hält es die Bundesregierung für gerechtfertigt, zivile Gremien 
zu schaffen - Nationales Cyber- Abwehrzentrum und Nationaler Cyber- 
Sicherheitsrat - an denen Bundeswehr und NATO beteiligt sind und die 
dem Schutz ziviler Strukturen Standards vorgeben sollen, die für den mili- 
tärischen Bereich entwickelt wurden? 

Durch die Einbindung der Bundeswehr können auch deren Erkenntnisse über 
Sicherheitslücken und über Angriffswege militärischer Gegner genutzt werden, 
um höherwertigere technische Empfehlungen zum Schutz der IT der Bundes- 
behörden und der Kritischen Infrastrukturen geben zu können. Eine Beteiligung 
der NATO am Cyber- AZ oder NCSR ist nicht geplant. 


3 5 . Welche Anstrengungen hat die Bundesregierung bisher unternommen, um 
für den Schutz Kritischer Infrastrukturen einheitliche zivile Standards zu 
entwickeln (bitte auch die europäische Ebene beachten)? 

Die Bundesregierung arbeitet seit einigen Jahren gemeinsam mit Verbänden an 
der Ergänzung verschiedener fachspezifischer Regelwerke mit dem Ziel, allge- 
meine Maßnahmen zum Schutz Kritischer Infrastrukturen und zur Erhöhung der 
Versorgungssicherheit auf dem Wege der Selbstregulierung zu implementieren. 

Spezielle Standards zum Schutz auch Kritischer Infrastrukturen im Rahmen der 
IT-Sicherheit sind die BSI-Standards 101-104; weitere Empfehlungen und Hilfs- 
mittel, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zu identi- 
fizieren und umzusetzen, finden sich in den IT-Grundschutz-Katalogen. 

Den Schutz Kritischer Informationsinfrastrukturen treibt die Bundesregierung 
seit Jahren gemeinsam mit bedeutenden Betreibern Kritischer Infrastrukturen im 
Rahmen des UP KRITIS voran. 

Überdies wirkt die Bundesregierung in nationalen und internationalen Nor- 
mungsgremien mit. 
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